The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Более половины npm-пакетов могли быть скомпрометированы из-за ненадёжных паролей доступа

27.06.2017 20:07

Никита Сковорода, входящий в управляющий технический комитет проекта Node.js, опубликовал результаты анализа надёжности паролей для доступа к учётным записям в репозитории NPM. Результат оказался более чем печальным - в ходе проверки удалось получить доступ к 12% аккаунтов (13% пакетов) из-за использования в них предсказуемых и тривиальных паролей, таких как "123456". Среди подобных учётных записей есть и популярные модули, которые находятся в зависимостях у других пакетов. С учётом загрузки других модулей по цепочке зависимостей, компрометация ненадёжных учётных записей может поразить в сумме до 52% от всех модулей в NPM.

Всего удалось получить доступ к 15495 учётным записям, используемым для управления 66876 пакетами. В том числе был получен доступ к 4 учётным записям пользователей из Top20 самых популярных пакетов. Также был получен контроль над 13 пользователями, пакеты которых загружают более 50 млн раз в месяц, 40 пользователями с более 10 млн загрузок в месяц и 282 с более 1 млн загрузок в месяц. Компания NPM Inc приняла исследование во внимание и инициировала процесс смены паролей для ненадёжных учётных записей. Для усиления защиты NPM запрещено использование словарных и коротких паролей, скоро будет ограничена поддержка "HTTP Basic auth", в более отдалённых планах внедрение двухфакторной аутентификации.

Контроль над 2545 учётными записями (5470 пакетов) был получен в ходе проведения Bruteforce-атаки по подбору типовых паролей. Данные об 12150 учётных записях (57112 пакетов) были получены путём сопоставления сведений из крупных публичных утечек баз паролей (когда пользователь использовал идентичные пароли на NPM и взломанных сайтах, базы паролей которых были выложены в открытый доступ). Допуск к 732 учётным записям (4786 пакетов) удалось получить путём варьирования пароля из публичных утечек (например, добавление цифр, замена имени на npm и т.п.). Контроль над оставшимися 120 проблемными учётными записями (582 пакета) был получен через поиск утечек параметров входа в файлах, опубликованных на GitHub (например, вместе с другими файлами загружены .npmrc, config.json, .gitconfig и т.п.).

Некоторые интересные факты:

  • В учётной записи для доступа к модулю koa, который в прошлом месяце был загружен 300 тысяч раз, использовался пароль "password";
  • Один из пользователей, контролирующий более 20 млн загрузок в месяц, в ответ на отзыв скомпрометированного пароля, установил в качестве нового пароля содержимое старого, добавив к нему символ "!";
  • Пользователь, входящий в top-20, после сброса скомпрометированного пароля опять вернул свой старый пароль через некоторое время;
  • У 662 пользователей был установлен пароль "123456", у 168 - "123", у 115 - "password";
  • 1409 пользователей (1%) указали в качестве пароля свой логин;
  • 10% пользователей повторно использовали свой заведомо скомпрометированный пароль: 9.7% в изначальном виде, а 0.6% внеся в него незначительное изменение;
  • Трафик всех пакетов, к которым был получен доступ в ходе исследования, составляет почти два миллиарда (1 946 302 172) загрузок в месяц, что примерно 20% от общего объёма загрузок.


  1. Главная ссылка к новости (https://github.com/ChALkeR/not...)
  2. OpenNews: Небезопасное хранение данных в менеджерах паролей для платформы Android
  3. OpenNews: Применение тайпсквоттинга для распространения вредоносных модулей NPM, PyPI и Gems
  4. OpenNews: Незащищённость NPM к атакам по внедрению вредоносных модулей-червей
  5. OpenNews: Инцидент с захватом прав на NPM-модуль привёл к сбою в работе проектов, использующих NPM
  6. OpenNews: В RubyGems устранена уязвимость, позволявшая подменять файлы в репозитории
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/46768-npm
Ключевые слова: npm
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (105) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, анон (?), 20:58, 27/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    вопрос очень простой, а какого черта нет валидации при установке пароля? что за детские болезни?

    а вообще феерично. проверку на сложность пароля никакого нет, так они еще и исследование провели, мол "смотрите какие у нас пользователи тупые, ставят простые пароли".

     
     
  • 2.3, Аноним (-), 21:05, 27/06/2017 [^] [^^] [^^^] [ответить]  
  • +11 +/
    > вопрос очень простой, а какого черта нет валидации при установке пароля? что
    > за детские болезни?

    Главное не переборщить, а то некоторые такую валидацию устроят, что пользователи на бумажке пароль к монитору сразу клеят. Или ещё хуже когда раз в месяц просят менять пароль, тоже гарантированная бумажка и смена через +1 к прошлому паролю. Простые пароли не проблема, проблема предсказуемые и короткие пароли. Как говориться, пять простых слов в пароле гораздо надёжнее 8-символьных паролей типа d4&Gr0N@.

     
     
  • 3.8, gogo (?), 21:13, 27/06/2017 [^] [^^] [^^^] [ответить]  
  • +10 +/
    Бумажка гораздо безопаснее очень многих других способов хранения.
    А если хранить ее не на мониторе и записывать пароль не полностью, а только с тебе понятными сокращениями/вариациями/намеками, то один из самых безопасных.
     
     
  • 4.28, пох (?), 00:14, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > А если хранить ее не на мониторе и записывать пароль не полностью, а только с тебе
    > понятными сокращениями/вариациями/намеками, то один

    хрен через два-три года не сможешь вспомнить, что тут записано. Не благодари.

    ну и да - требовать чего-то от пользователей можно начинать, когда у тебя на сайте хотя бы защита от тупого перебора уже есть. Иначе они добавят '!' и будут абсолютно правы.

     
     
  • 5.35, gogo (?), 00:56, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Видать у тебя фантазия бурная и ассоциации к намекам нетривиальные...
    Я лично не первый десяток лет пользуюсь таким методом. НИ РАЗУ записанный пароль не забылся  намертво.
     
     
  • 6.51, пох (?), 08:39, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Видать у тебя фантазия бурная и ассоциации к намекам нетривиальные...

    да нет, просто паролей - много, некоторые нужны раз в пару лет, не везде можно выбрать такое, что в принципе запоминаемо.
    Вот и сидишь потом: так? Не...так что-ли? Не... Может тут было... блин! Может скобка в другую сторону, или другая скобка? Да ну его нахрен, ...але, пятый ряд третья стойка ####, дерните там, пожалуйста, питание.

    При этом два самых ходовых пароля у меня длинные и абсолютно бессмысленные (не потому что я этого хотел ;-) - но я их набираю в день несколько десятков раз. А вот что там было в 2014м году - хорошо, когда вовремя успел записать - целиком и без всяких намеков. Причем это как раз простые и запоминаемые (иначе бы записал сразу).

     
     
  • 7.57, тоже Аноним (ok), 09:26, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А что мешает пользоваться длинными, но осмысленными паролями?
    Внезапно, в базах паролей, например, ни разу не встречается ни одна из десяти общеизвестных фраз, приведенных подряд в самой популярной книге на планете. Даже если забудешь - не проблема освежить в памяти...
     
     
  • 8.71, Онанимус (?), 13:39, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Согласен Сам так делаю и знакомым советую ... текст свёрнут, показать
     
  • 8.75, rshadow (ok), 14:33, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А зачем вообще запоминать пароли к сайтам Сгенерил, авторизовался, браузер запо... текст свёрнут, показать
     
     
  • 9.82, тоже Аноним (ok), 17:06, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Интернет-банки, например, не дают браузеру запоминать логин и пароль И правильн... текст свёрнут, показать
     
  • 5.67, freehck (ok), 13:07, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> А если хранить ее не на мониторе и записывать пароль не полностью, а только с тебе
    >> понятными сокращениями/вариациями/намеками, то один
    > хрен через два-три года не сможешь вспомнить, что тут записано.

    Пффф. Просто запомните соль, которую приписываете в конце каждого своего пароля, записанного на бумажке.

     
  • 3.32, YetAnotherOnanym (ok), 00:49, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Бумажка может и в бумажнике лежать. И - да, лучже пароль на бумажке, который могут видеть трое коллег в комнате, чем 12345.
     
     
  • 4.52, пох (?), 08:43, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Бумажка может и в бумажнике лежать. И - да, лучже пароль на
    > бумажке, который могут видеть трое коллег в комнате, чем 12345.

    камера, в той же комнате, или не в той же (раз в бумажнике - значит ты предполагаешь им пользоваться вне этого помещения), не-лох, отжавший бумажник (тут скорее dos чем компроментация, но все равно обидно)

    А 123#45. - уже при хоть мало-мальской защите от подбора вполне надежен для большинства нормальных применений, и набирать удобно. (не годится, если есть шанс что сперли базу encrypted паролей, но...э...ну вы поняли, да, куда в этом случае надо пройти ответственному за безопасность)

    Но забывается моментально, чем и плох - я их мильен таких забыл ;-)

     
  • 2.5, Led (ok), 21:08, 27/06/2017 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > смотрите какие у нас пользователи тупые

    Как будто другие вэб-макаки бывают?

     
     
  • 3.16, Отражение луны (ok), 22:06, 27/06/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Нода не совсем о вебе в привычном его понимании. Скорее о веб сервисах и бекендах не только к апи для сайтов, но и для аппликух. Будь ты компетентным - не пришлось бы тебе это объяснять.
     
     
  • 4.18, Led (ok), 22:21, 27/06/2017 [^] [^^] [^^^] [ответить]  
  • +8 +/
    >> Как будто другие вэб-макаки бывают?
    > Нода не совсем о вебе в привычном его понимании. Скорее о веб сервисах

    Ок, признаю, был неправ.
    Корректирую:

    Как будто другие вэб-сервисные-не-совсем-в-привычном-понимании-макаки бывают?

    P.S. Кстати, как на латыни правильно пишется этот вид?

     
     
  • 5.20, Аноним (-), 22:37, 27/06/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/

    > P.S. Кстати, как на латыни правильно пишется этот вид?

    веб-макакус-илитус-нон-вулгарис

     
     
  • 6.22, Аноним (-), 22:39, 27/06/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/

    >> P.S. Кстати, как на латыни правильно пишется этот вид?
    > веб-макакус-илитус-нон-вулгарис

    Хотел было приписать один "сапиенс", но вовремя увидел
    >После сброса паролей 9.7% пользователей сразу вернули свой старый заведомо скомпрометированный пароль

    что как бы намекает.

     
  • 5.80, Добрый анон (?), 15:26, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Иронизирующая илитка нарисовалась, как же хорошо Я не понимаю, зачем пытаться... большой текст свёрнут, показать
     
     
  • 6.108, Спрашивающий анон (?), 11:00, 07/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, внезапно, обычные мартышки появились тоже не просто так, правда? Их сформировали природные условия. Это не отменяет того, что их ужимки смешные. И склонность смеяться над обезьяньими кривляньями у людей, — дар эволюции. Но ты оправдываешь обезьян за кривляния,(Слово сознательно написано по-разному. FYGN) но осуждаешь людей за насмешки.
     
  • 6.109, Спрашивающий анон (?), 11:00, 07/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, внезапно, обычные мартышки появились тоже не просто так, правда? Их сформировали природные условия. Это не отменяет того, что их ужимки смешные. И склонность смеяться над обезьяньими кривляньями у людей, — дар эволюции. Но ты оправдываешь обезьян за кривляния,(Слово сознательно написано по-разному. FYGN) но осуждаешь людей за насмешки.
     
  • 4.26, Аноним (-), 23:32, 27/06/2017 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > Нода не совсем о вебе в привычном его понимании.

    Яваскрипт в рот тянут именно бывшие "веберы". И именно им нужна серверная часть именно на яваскрипте. Потому что после последнего курса вуза и десяти лет фриланса зарплату хочется большую (то есть конкурировать с такими же как они раньше школьниками не планируется), а учить второй язык уже, увы, некогда: жена, ребёнок и собственный стартап по платной обфускации js-кода не оставляют свободного времени.

     
     
  • 5.74, Аноним (-), 14:11, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Я тяну яваскрипт просто потому, что это лучший язык программирования. Никогда под веб ничего не писал.
     
     
  • 6.78, Аноним (-), 14:49, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > лучший

    Чтоб понять, насколько вы адекватны и можно ли доверять вашему мнению, назовите, пожалуйста, также лучшую операционную систему, лучшую модель процессора, лучшую модель автомобиля, лучший город на планете, лучшую марку пива и лучшее время суток?

     
  • 5.87, Crazy Alex (ok), 19:43, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вообще-то один язык там и там - это выгодное решение по куче причин, как технических, так э организационных. Если бы это только не JS был...
     
  • 4.60, Аноним (-), 10:04, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Большинство пользователей ноды -- веб-макаки, решившие освоить фулл-стэк. И принцип работы NPM со своими рекурсивно уложенными node_modules, возможностью удалить из репозитория модуль и т. д. это только подтверждает. Ведь нельзя просто так взять и посмотреть, как работают пакетные менеджеры во всём остальном мире, будь то rpm, джемы или что угодно другое -- надо изобрести свою полурабочую дичь, которая будет соответствовать духу остального мира JS.

    И да, везде есть свои исключения. Есть в сообществе много адекватных людей. Я о среднем уровне интеллекта говорю.

     
  • 3.33, Anonminus (?), 00:51, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    kernel.org месяцами лежал в maintenance, но макаки при этом npm.
     
     
  • 4.68, Аноним (-), 13:21, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Так это одни и теже макаки :-))
     
  • 2.14, Аноним (-), 21:43, 27/06/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Надеюсь возможность брутфорса на этом репозитарии пресекается?
     
  • 2.40, Аноним (-), 02:22, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Это же жабаскриптеры, у них в голове при слове security ничего не возникает.
     
  • 2.42, mumu (ok), 05:18, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Что за проверка на сложность? qwertQWERT1234!@#$ Это сложный пароль или нет?
     
     
  • 3.72, Онанимус (?), 13:46, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Что за проверка на сложность? qwertQWERT1234!@#$ Это сложный пароль или нет?

    Легкий для перебора. Перебирают не только посимвольно, но и сочетаниями "квертей".

     

  • 1.2, A.Stahl (ok), 21:04, 27/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    >установил в качестве нового пароля содержимое старого, добавив к нему символ "!";

    И что в этом не так? Вполне секьюрно. Сомневаюсь, что в словарях есть какой-то там qwerty! или 123456!

     
     
  • 2.25, Crazy Alex (ok), 23:21, 27/06/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Сто лет как. Банально потому что словари во многом составлены из утёкших реальных паролей, а такого добра там валом.
     
  • 2.48, тоже Аноним (ok), 08:14, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • +8 +/
    123456! - это очень серьюрный пароль, если его правильно посчитать.
    В базе такого точно нет. Не всякий калькулятор справится...
     
     
  • 3.69, freehck (ok), 13:23, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > 123456! - это очень серьюрный пароль, если его правильно посчитать.
    > В базе такого точно нет. Не всякий калькулятор справится...

    Очень длинный пароль выходит: в нём ведь 574965 цифер. Задолбаешься вводить.
    Может, лучше обойтись его хэш-суммой sha256? Она покороче будет:




    1433d2107a6933730464d979562ff6921c8d4f4c6543f05ad1340f43c0b6886b



     
  • 2.107, щи (?), 13:40, 04/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да я бы сказал, и 1234567 тоже секьюрный пароль, в шестизначной базе его нет. Как нет его и в семифигурной базе окончаний. И набирать удобно - именно по этому принципу и выбираются пароли.
     

  • 1.4, Аноним (-), 21:07, 27/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    npm прочел как rpm. Фух. Мимо.
     
  • 1.6, Константавр (ok), 21:09, 27/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Так може они кому "порулить" дают и чтобы если что не оказаться виноватым - ой, у меня пароль взломали! Не зря я их всех ненавидел.
     
  • 1.7, Аноним (-), 21:13, 27/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кодеры пролазят в любые щели. Это только начало.
     
  • 1.9, Виталик (??), 21:15, 27/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    И как уберечься?
    Ну, вот допустим, хочу я поставить глобально какой-то пакет из npm, например create-react-app, как ей ограничить доступ чтоб она не могла украсть файлы с моего диска в случае если там есть скомпрометированная зависимость?
     
     
  • 2.11, Аноним (-), 21:31, 27/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Отдельного пользователя заведи и из-под него работай.
     
  • 2.15, Аноним (-), 22:02, 27/06/2017 [^] [^^] [^^^] [ответить]  
  • +5 +/
    >И как уберечься?

    Использовать другую платформу?

     
  • 2.17, Аноним (-), 22:20, 27/06/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В докер ту ноду вместе с её нпмами, заодно и деплой с самого начала заготовишь
     
  • 2.47, istepan (ok), 08:11, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Основной риск будет на твоих клиентах. В библиотеки встроят XSS и все, гуляй вася. Миллионы фронтов.

    Сам пишу фронт, и жутко бесит npm, поэтому стараюсь писать в основном на ванили.
    Максимум это вебпак, полифилы и jquery. И еще мелкие библиотеки без зависимостей, исходники которых я как правило смотрю изначально из интереса, сейчас в целях безопасности буду.

    Второй способ защиты это зафиксировать версии библиотек, чтоб npm не самостоятельно обновлялся на последние версии.

     

  • 1.10, corvuscor (ok), 21:17, 27/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Ну блин... хоть peerflix удаляй нафиг...
     
     
  • 2.13, ке (?), 21:38, 27/06/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Он у меня из нпм только и стоит
     

  • 1.12, Аноним (-), 21:31, 27/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Краткое содержание комментариев к этой новости:
    1. А я говорил!
    2. Эти веб-макаки...
    3. Я таких ошибок никогад не делал, а программировать начал сразу в машинных кодах еще с детского сада...
    4. Ну что с них взять, это же js, вот был бы православный C, не было бы такого!
    5. Прочие виды снобизма
     
     
  • 2.21, Ordu (ok), 22:37, 27/06/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Я бы согласился со снобизмом, если бы не раздел в новости "интересные факты". Хотя тут конечно возникает вопрос: они просто инициировали смену пароля, или объяснили причины? И если объяснили причины, то насколько подробно? Можно же просто сказать "ваш пароль небезопасен смените его", а можно сказать "ваш аккаунт был взломан методом подбора пароля, поэтому смените его на что-нибудь пристойное". Вот если имел место последний вариант и при этом вылезли сии интересные факты, то я присоединюсь к хору, поющему про веб-макак.
     
     
  • 3.29, пох (?), 00:20, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Хотя тут конечно возникает вопрос: они просто инициировали смену пароля,
    > или объяснили причины?

    или неубедительно объяснили причины.

    > же просто сказать "ваш пароль небезопасен смените его", а можно сказать
    > "ваш аккаунт был взломан методом подбора пароля, поэтому смените его на

    а то мы все никак не соберемся озаботиться защитой от подбора. Ага, двадцать раз поменял, с кисточкой.

    Ну и то что занимаясь всей этой херней, они даже не почесались ограничить в интерфейсе возможность установки подбираемых паролей, тоже говорит о том, что макаки, похоже, в основном среди рулящих самим проектом.

     
     
  • 4.79, Ordu (ok), 14:50, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ну и то что занимаясь всей этой херней, они даже не почесались ограничить в интерфейсе возможность установки подбираемых паролей, тоже говорит о том, что макаки, похоже, в основном среди рулящих самим проектом.

    Это палка о двух концах. Чем сложнее поменять пароль, тем реже и неохотнее пользователи будут это делать. Вплоть до детских реакций, типа назло мамке в лужу сяду, например, пароль меняется принудительно, пользователя просто не пускают в систему пока он не сменит пароль, а пользователь выпендривается мухой на стекле, пытаясь "сломать систему", то есть установить новый пароль максимально похожий на старый.

     
     
  • 5.105, пох (?), 09:25, 29/06/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    так менять и не надо вообще Это тоже очередной псевдо-безопасный жупел, когда... большой текст свёрнут, показать
     
     
  • 6.106, Ordu (ok), 15:45, 29/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален Может быть Но отсутствие практики смены паролей даст ат... большой текст свёрнут, показать
     

  • 1.19, Аноним (-), 22:31, 27/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    самое смешное что все они верны
     
  • 1.23, Аноним (-), 22:49, 27/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Зачем сразу 2-факторная авторизация?
    Неужто килобайтный ключ вместо паролей - не поможет?
    Персональных данных разве что захотелось собрать...
     
     
  • 2.64, Аноним (-), 10:55, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Во-первых, двухфакторная аутентификация, а не авторизация. Во-вторых, она не обязательно предполагает сбор персональных данных.
     

  • 1.24, pda (?), 23:16, 27/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Гг. Ребята окунулись в реальный мир. До этого всё думали, что в сказку попали...
     
  • 1.27, th3m3 (ok), 00:01, 28/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Вот не зря ушёл с Node.js и вернулся на Python.
     
     
  • 2.31, Anonminus (?), 00:35, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • –5 +/
    А я ушел с Node.js на Java. Кстати, по бенчмаркам в десятки раз быстрее питона. Кстати, настоящее ООП, в отличие от питона. Кстати, богата спецификациями, в отличие от питгна. Кстати... список можно продолжать.
     
     
  • 3.37, th3m3 (ok), 01:16, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Проиграл. Ну хоть не php.
     
     
  • 4.38, Anonminus (?), 01:32, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Проиграл. Ну хоть не php.

    Издеваешься что ли. Даже питон лучше пыха.

     
     
  • 5.45, A.Stahl (ok), 07:57, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Чем лучше-то? Они практически идентичны. Типизация скрыта, управление памятью отсутствует... У РНР хоть синтаксис классический. Потому и "взлетел".
     
     
  • 6.59, Аноним (-), 09:51, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты что с ума сошел? это в похапе синтаксис класный. Да таких укурков еще не видел
     
  • 6.65, th3m3 (ok), 11:31, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >>Они практически идентичны.

    Опять проиграл. Ребята, с вами и башорг ненужен :)

     
  • 6.84, Anonminus (?), 18:03, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Астахл, я понимаю твои чувства, говорю как человек, который покинул php и попробовал чуток пописать на питоне. У питона стд библиотека хотя бы продумана, а у пыха непоследовательно всё, вообще всё. Часть функционала реализована в сишном стайле (функции, возвращающие код ошибки; функции, не возвращающие ничего, а чтобы узнать, не отвалилась ли предыдущая функция, нужно вызывать другую функцию, по типу json_encode + json_last_error). Часть функционала реализована в Java/C++ стайле (функции, которые бросаются исключениями). Функции по работе со строками начинаются одновременно и с "str" (strtok), и с "str_" (str_replace). Все это кажется мелочью, но из таких мелочей и состоит пых. Полностью.

    Если что, я питоно-хейтер, а сам пишу на Java.

     
     
  • 7.88, Crazy Alex (ok), 19:50, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    бардак в этом плане - мелочи по сравнению с общиии бедами скриптодинамики на не совсем мелких проектах. Сейчас там Go какой-нибудь надо брать, или JVM для чего побольше. Это если о вебе.
     
  • 2.46, Аноним (-), 08:10, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да, не зря, раз не различаешь ноду и npm. Они связаны, но не единое целое. И у npm есть альтернативы, либо можно просто не использовать пакетный менеджер и писать/вставлять код самому.
     
     
  • 3.55, пох (?), 09:04, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Да, не зря, раз не различаешь ноду и npm. Они связаны, но
    > не единое целое. И у npm есть альтернативы, либо можно просто
    > не использовать пакетный менеджер и писать/вставлять код самому.

    угу, весь мир с нуля за недельку создам? (начиная с leftpad ;-) весь смысл ноды-то в простоте доступа к чужому хавнокоду. И чем альтернативы лучше - у них какие-то более правильные авторизации для разработчиков?

    Но чем тут пихон так уж лучше - понятия не имею (глядя на ведро зависимостей, притащенное банальным hg, которые чорта с два хоть раз кто кроме их авторов вообще открывал)

    Это еще не вспоминая про качество кода, которое, мнэ...

    Проблеме лет двадцать - еще со времен перехода perl на версию 5, когда из милого простенького скриптоязыка для админов онли сделали очередное "зачем писать свое, в cpan давно уже лежит готовое". С тех пор все только и развивается в сторону "rapid development", когда вчерашняя версия уже немодна, и несовместима с версией чего-то еще что уже точно нужно новое.

    P.S. в этом плане меня всегда искренне удивлял php. Как ни странно, его модули ухитряются почти всегда работать в весьма причудливых комбинациях. Причем крайне редко требуют новой версии чего-то того, что уже установлено год назад. Возможно, потому что язык достаточно высокоуровневый, и, действительно, всякие лефтпады каждый пишет себе сам, обращаясь к pear только когда нужно действительно что-то нетривиальное. А такое пишут нормальные кодеры.

     
  • 3.61, Аноним (-), 10:15, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Да, не зря, раз не различаешь ноду и npm. Они связаны, но
    > не единое целое. И у npm есть альтернативы, либо можно просто
    > не использовать пакетный менеджер и писать/вставлять код самому.

    Альтернативы npm решают только огрехи в принципе резолвинга версий зависимостей самим npm и всё равно опираются на репозитории npm. Так что в тред призывается Эскобар.

     

  • 1.30, Аноним (-), 00:22, 28/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    вспомнити npm leftpad!
     
  • 1.34, YetAnotherOnanym (ok), 00:53, 28/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    А что вы хотели от людей, которые возводят в ранг добродетели свою неспособность выучить больше одного языка?
     
     
  • 2.36, Мы (?), 00:57, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    От тебя ничего не хотим.
     

  • 1.39, Аноним (-), 02:06, 28/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >I will not include the full list (it won't fit here), nor will I include all the top packages

    Интересно, из каких побуждений он не желает публиковать полный список? Глупая отмазка "не влезет все" не котируется - сделать список и дать на него ссылку никто не отменял.
    То-бишь, я тут сломал, но всех называть не буду, пользуйтесь на здоровье!

     
     
  • 2.85, Аноним (-), 19:21, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Конкретных людей палить нехорошо, там же написано.
     

  • 1.41, mumu (ok), 05:14, 28/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Хипсторы не умеют в it безопасность
     
     
  • 2.43, Аноним (-), 05:46, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ...сказал нехипстер, сидя из-под провайдера, хранящего его трафик минимум полгода.
     
     
  • 3.44, mumu (ok), 07:51, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    И сколько полугодий потребуется провайдеру, чтобы расшифровать https рафик, м?
     
     
  • 4.49, rpm (?), 08:19, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Нисколько. Они его и так незашифрованным хранят.
     
     
  • 5.62, Аноним (-), 10:18, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Нисколько. Они его и так незашифрованным хранят.

    Дай угадаю, мало того, что ты хохол, ты ещё и на JS пишешь? Ибо с принципом работы HTTPS ты, судя по всему, не знаком.

     

  • 1.50, odity (ok), 08:32, 28/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А статейка безумно полезная. Прям описание группового поведения приматов. Теперь наглядно можно видеть,как приматы разделяются и их предсказуемость
     
  • 1.53, Меломан1 (?), 08:44, 28/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > опубликовал результаты анализа надёжности паролей для доступа к учётным записям в репозитории NPM
    > Всего удалось получить доступ к 15495 учётным записям

    Да кому интересны эти результаты? По удалял бы эти акки и дело с концом.

     
     
  • 2.63, Аноним (-), 10:21, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> опубликовал результаты анализа надёжности паролей для доступа к учётным записям в репозитории NPM
    >> Всего удалось получить доступ к 15495 учётным записям
    > Да кому интересны эти результаты? По удалял бы эти акки и дело
    > с концом.

    Ты ж помнишь, что после удаления аккаунта можно посоздавать модули с такими же именами и залить туда свой код, да? Если не помнишь, google://npm+leftpad+accident

     

  • 1.56, Аноним (-), 09:07, 28/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А без работы всё равно ты, "${username}".
     
  • 1.58, qwerty_qwert1 (?), 09:26, 28/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    ну теперь точно вся надежда на webassemble, придут ребята с большыми ....ками, и похоронят js.  
     
     
  • 2.66, istepan (ok), 11:37, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Один хер инициализация на JS идет. DOM опять же еще не завезли. Печально пока.
     

  • 1.70, wins proxy (?), 13:26, 28/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Всё, что надо знать о веб-разработчиках
     
  • 1.73, Аноним (-), 13:57, 28/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Человеческая тупось безгранична.
     
  • 1.83, Ненужно (?), 17:25, 28/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Никогда такого не было и вновь произошло
     
  • 1.86, anomymous (?), 19:31, 28/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    NPM = No Password Management
     
     
  • 2.96, Аноним (-), 21:58, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > NPM = No Password Management

    https://github.com/npm/npm-expansions/blob/master/expansions.txt#L452

     

  • 1.89, Аноним (-), 21:35, 28/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > а 0.6% вернули старый пароль, но внеся в него незначительное изменение;

    А вот это просто неверный перевод.

    И «Главная ссылка к новости» на агрегатор ссылок без описаний — это чуть-чуть странно =).

     
     
  • 2.90, Аноним (-), 21:38, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > 10% of users reused their leaked passwords: 9.7% — directly, and 0.6% — with very minor modifications.

    Вот так в оригинале.

    > а 0.6% вернули старый пароль, но внеся в него незначительное изменение;

    Вот это додумано. Перебор модификаций применялся ко всем потенциальным паролям, слинкованным с аккаунтами по утечкам, а не только к тем, которые подошли.

     
     
  • 3.91, Аноним (-), 21:48, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> 10% of users reused their leaked passwords: 9.7% — directly, and 0.6% — with very minor modifications.
    > а 0.6% вернули старый пароль, но внеся в него незначительное изменение;

    И что здесь додумано? Ровно то, что в оригинале, "with very minor modifications" это и есть "внеся в него незначительное изменение", а про 9.7% вы кусок не процитировали.

     
     
  • 4.93, Аноним (-), 21:52, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > вернули старый пароль,

    Вот это додумано. 0.6% — это пользователи, у которых с другого сервиса утёк пароль вида «abcdef», а на npm они при этом использовали что-то вида «Abcdef1». Это не значит, что они использовали «abcdef» на npm и не значит что они его вернули с изменениями.

     
     
  • 5.97, Аноним (-), 22:01, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > что-то вида «Abcdef1». Это не значит, что они использовали «abcdef»
    > на npm и не значит что они его вернули с изменениями.

    Логично,  но можно и так и так понять. Что именно подразумевалось под reused не уточняется в тексте. Может речь про пересечения базы npm и других баз, а может про ситуацию после сброса паролей.

     
  • 3.92, Аноним (-), 21:52, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >Перебор модификаций применялся ко всем потенциальным паролям,

    Совсем нет - "reused _their_ leaked passwords"

     
     
  • 4.95, Аноним (-), 21:54, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >>Перебор модификаций применялся ко всем потенциальным паролям,
    > Совсем нет - "reused _their_ leaked passwords"

    _their leaked passwords_

    Пароли, утёкшие с других сервисов использовались на npm почти в том же виде, но с незначительными изменениями. По-моему, ок сформулировано.

     
  • 2.98, Аноним (-), 22:03, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > был получен через подбор типовых паролей к сторонним серисами, таким как GitHub и Google.

    Ох, ну это вообще трэш.

    Там речь о том, что токены или пароли были запушены человеками на гитхаб или выложены где-то в другом месте и проиндексированы гуглом.

     
     
  • 3.99, Аноним (-), 22:05, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Вы в тесте новости смотрите, а не в левом черновике на форуме.
     
     
  • 4.100, Аноним (-), 22:06, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Вы в тесте новости смотрите, а не в левом черновике на форуме.

    В смысле?

     
     
  • 5.103, Аноним (-), 22:12, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> Вы в тесте новости смотрите, а не в левом черновике на форуме.
    > В смысле?

    Актуальный текст на https://www.opennet.ru/opennews/art.shtml?num=46768

    На https://www.opennet.ru/openforum/vsluhforumID3/111590.html начальный черновик, который начали обсуждать до публикации, а поправить забыли (сейчас уже поправили).

     
     
  • 6.104, Аноним (-), 22:16, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ох. Спасибо, я этого не заметил.

    Я сюда перешёл по ссылке «[смотреть все]» у комментария со страницы новости.

     
  • 4.101, Аноним (-), 22:06, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Вы в тесте новости смотрите, а не в левом черновике на форуме.

    Я как раз и жалуюсь на то, что вот этот перевод слишком левый.

     
     
  • 5.102, Аноним (-), 22:09, 28/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> Вы в тесте новости смотрите, а не в левом черновике на форуме.
    > Я как раз и жалуюсь на то, что вот этот перевод слишком
    > левый.

    Кстати, кажется, поправили. И это хорошо =).

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру